“Ciao provider internet, ecco la cronologia del mio browser”

Importante votazione, quella che si è tenuta un paio di giorni fa al Senato degli Stati Uniti. Con 50 voti favorevoli e 48 contrari, è stata abolita la normativa che impone ai provider internet di ottenere il consenso degli utenti prima di poter vendere i loro dati di navigazione ad agenzie pubblicitarie o altre compagnie che raccolgono big data. La normativa in questione era stata approvata lo scorso ottobre, e si occupava di regolamentare la raccolta e la vendita di dati degli utenti da parte dei vari fornitori internet (ISP, Internet Service Provider) americani che, prima di poter rivendere ogni informazione relativa alla navigazione internet, dovevano raccogliere un esplicito consenso da parte degli utenti. La legge di fatto ri-classificava i provider come veri e propri servizi di informazione, e di conseguenza li sottoponeva al controllo della FCC (Commissione federale delle comunicazioni, Federal Communication Commission), che negli anni ha sempre combattuto con forza i tentativi di invasione della privacy dei cittadini da parte delle società di telecomunicazioni.

Nota: dal punto di vista formale, è importante segnalare almeno due aspetti. Il primo è che la votazione è stata fatta solo al Senato, e prima che approdi sul tavolo del Presidente degli Stati Uniti per un’eventuale ratifica serve anche il voto della Camera dei rappresentanti (che, come il Senato, è a maggioranza repubblicana); il secondo dato è che le regole che il Senato ha deciso di abolire non sono ancora operative, ma sarebbero dovute entrare in vigore il prossimo 4 dicembre.

Davvero è così difficile confondere un provider internet con Facebook o Google?

Il Senato ha sfruttato lo strumento del Congressional Review Act per annullare le decisioni della FCC dello scorso ottobre, e assicurarsi che non ne possa prendere di analoghe in futuro. Secondo il senatore Jeff Flake (repubblicano) che ha proposto questo colpo di coda, la regolamentazione della FCC «è confusionaria e inutile, e aggiunge un ulteriore, soffocante regolamento a internet… La mia risoluzione non cambierà né indebolirà le attuali normative a protezione della privacy dei consumatori». La “confusione” deriverebbe dal fatto che i provider sarebbero tenuti a norme sulla privacy diverse dai vari Facebook e Google, che hanno le loro licenze, e possono raccogliere e rivendere i dati degli utenti. C’è invece una differenza importante, e significativa: una volta connessi a internet, su Google o Facebook uno può anche decidere di non andarci, mentre il provider è necessario in prima istanza proprio per collegarsi alla rete. Insomma, non è che sia poi così complicata o “confusa”, la faccenda.

Dura la replica del senatore Ed Markey (democratico), secondo cui «con il voto di oggi, i senatori repubblicani hanno reso più facile lo sfruttamento delle informazioni sensibili degli americani, relative a salute, finanze e famiglia. Informazioni che possono essere condivise e vendute al miglior offerente senza il loro permesso. Il popolo americano vuole che la sua privacy sia maggiormente tutelata, non indebolita. Non dovremmo abdicare al nostro diritto fondamentale alla privacy solo perché le nostre case e i nostri telefoni sono connessi a internet».

Quali dati raccoglie un ISP? Impossibile saperlo con certezza, ma di certo ci sono cose che non vorremo che altri scoprissero

Difficile dire con precisione quali siano esattamente i dati raccolti da un provider internet, ma tra questi rientrano sicuramente la history dei browser (siti visitati, magari anche in modalità incognito, che poi sono i dati più sensibili di tutti), le informazioni di geo-localizzazione, le app scaricate e il loro utilizzo… Insomma, pensate a cosa succede ogni volta che accedete a internet per qualsiasi motivo: tendenzialmente, il vostro provider sa cosa sta accadendo, e può tenerne traccia. Senza scendere troppo in teorie paranoidi e complottiste, non è difficile immaginarsi che un ISP possa sapere a che ora ci si sveglia e si va a dormire (perché la prima e l’ultima cosa che facciamo in una giornata è interagire con lo smartphone), quali cibi cerchiamo su internet, quali ristoranti ci piacciono, quali siti ci piace visitare di nascosto, che musica ascoltiamo in streaming, dove ci piacerebbe fare una vacanza, quanto tempo stiamo su Facebook, i libri che cerchiamo, i nostri orientamenti sessuali, religiosi e politici (sempre sulla base delle ricerche, perché tendenzialmente si cerca quel che si conosce), e via di questo passo. Restando in tema di videogiochi, quali console usiamo, a quali servizi siamo abbonati, quanto stiamo connessi a giocare, quali youtuber/streamer seguiamo, quanti giochi possediamo, quale genere preferiamo, ecc. ecc.

I rischi di questa votazione vanno oltre la difesa della privacy

Più dati possono essere raccolti, più appetitoso il pacchetto diventa per gli inserzionisti pubblicitari, che pagheranno oro per poterci mettere le mani sopra. Non a caso, AT&T ha già pensato, in previsione dell’entrata in vigore delle regole di dicembre (contro cui si è espresso il Senato ieri) un canone di abbonamento a prezzo ridotto per chi decide di accettare incondizionatamente di cedere tutti i dati di navigazione al provider. Giusto per ribadire una volta di più quanto valgono. Oltre al problema della pubblicità, e al rischio che i dati possano venire rubati e diffusi da qualche malintenzionato (e la storia recente è piena di casi di questo genere) la Electronic Frontier Foundation fa presente che gli ISP potrebbero anche spingersi oltre, iniettando pubblicità, pre-installando software sul telefono degli utenti, iniettando cookie in grado di tracciare meglio i dati di navigazione, e persino intercettare le ricerche e re-direzionarle altrove. Un quadretto tutt’altro che allettante.

Impossibile liquidare la questione con un “ma tanto io non ho niente da nascondere”. Di base, perché non è vero

Immagino già chi liquiderà la faccenda con un “ma tanto io non ho niente da nascondere“, ed è facile pensarla così. Io stesso, tante volte, l’ho pensato. Non sono un talebano della privacy, non uso VPN o TOR, ho account su Google, Microsoft, Facebook, Amazon e tanti altri, e tendenzialmente ho ormai accettato di barattare le mie informazioni in cambio di servizi più o meno gratuiti (e pubblicità più mirata). Però, tanto per dirne una, la navigazione in incognito è una funzione che ormai ogni browser supporta, perché la gente la richiede. Facili battute a parte, la gente vuole — legittimamente — poter andare su siti che non intende condividere con nessuno, in casa propria, ma neanche con chi ha prodotto il browser. Per un provider internet, però, questi dati sono plausibilmente accessibili. E tanto più sono delicati, tanto più valgono. Certo, sarà impossibile poter associare un particolare insieme di dati a una singola persona, ma non è questo il punto. Il punto è che quei dati possono creare target estremamente precisi per la pubblicità (e non solo). Possono, se analizzati in sufficiente dettaglio, arrivare esattamente a me, sapendo di colpire nel segno (target vuol dire bersaglio, e l’utilizzo del termine non è casuale). Più di tutto, però, mentre posso decidere legittimamente di non iscrivermi a Facebook o di non usare Google per le mie ricerche, non posso rinunciare a un provider per andare su internet.

Resta da capire se la Camera dei rappresentanti appoggerà questa mozione, anche se è assai probabile che passerà, essendo anch’essa a maggioranza repubblicana. Fino ad allora, però, la situazione potrebbe ancora cambiare. Personalmente, me lo auguro di cuore. Non siamo negli Stati Uniti, ma questo è il genere di cose che ad arrivare da noi ci mettono davvero poco, e che mi inquietano parecchio.


Originally published at www.thegamesmachine.it on March 27, 2017.